Яков Гродзенский
Руководитель направления информационной безопасности компании «Системный софт»
Яков Гродзенский, к.т.н, руководитель направления информационной безопасности компании «Системный софт»
В современном мире аутентификация стала одним из обычных, ежедневных дел. Доступ к различной информации с помощью ноутбуков, планшетов, смартфонов и других устройств требует различных форм проверки подлинности личности. При этом традиционные пароли уже не способны обеспечить необходимый уровень защиты растущих объемов данных. Будучи уязвимыми для взлома, пароли, кроме того, достаточно сложны для запоминания и управления.
Двухфакторная аутентификация существенно снижает риски безопасности. К числу наиболее распространенных методов реализации этого подхода относится использование смарт-карт. По мнению многих специалистов, смарт-карты обеспечивают более строгое распознавание личности по сравнению с биометрическими методами, использующими динамические и вероятностные характеристики.
Однако несмотря на это, и у смарт-карт есть несколько существенных недостатков. Главный из них – высокая стоимость внедрения и использования, включающая в себя не только затраты на приобретение и обслуживание непосредственно самих смарт-карт, но также затраты на покупку специальных считывающих устройств.
Но и это еще не все. Если смарт-карты применяются компанией в качестве персональных ключей сотрудников в рамках инфраструктуры PKI, неизбежно возникают проблемы организационного характера. Все, кто пытался внедрять подобные системы, знают о них не понаслышке: работники постоянно забывают карты дома – а значит, теряют доступ к данным на весь рабочий день. Особенно рассеянные специалисты теряют карты, что требует финансовых затрат на восстановление и – снова – приводит к неизбежным простоям в работе.
Все эти проблемы относятся только к физическому носителю. Поэтому их эффективно устраняют виртуальные смарт-карты, в которых вся функциональность обычных смарт-карт реализована на уровне программных средств. Минусов у этой технологии значительно меньше: в частности, не возникает затрат на покупку и обслуживание оборудования, следовательно, общая стоимость владения для организации значительно снижается.
С точки зрения ОС, нет никакой разницы – физическая перед ней смарт-карта или виртуальная. На этой карте точно так же хранятся пользовательские цифровые сертификаты, полученные от PKI-инфраструктуры, и прочая информация о владельце. Принципиальная разница лишь в том, что физический носитель заменен программным хранилищем ключей и сертификатов, которое может иметь различные реализации. Чаще всего в качестве такого хранилища выступает модуль TPM (Trusted Platform Module), встроенный в большинство современных рабочих станций и планшетов бизнес-класса и реализующий функции, связанные с обеспечением безопасности и использованием ключей шифрования. Таким образом, аутентификация по-прежнему выполняется по двум факторам (TPM и PIN-код), однако пользователю не требуется иметь при себе отдельное устройство (карту), которое он может забыть или потерять.
Однако TPM – не единственная реализация хранилища для ключей и цифровых сертификатов. Российская компания Indeed Identity разработала альтернативу – сетевую виртуальную смарт-карту Indeed AirKey Enterprise. Эта технология уникальна в своем роде (по меньшей мере, среди отечественных разработок аналогов у нее нет). Ключи и сертификаты хранятся либо в зашифрованном виде в базе данных на сервере, либо в аппаратном модуле HSM.
С точки зрения функциональности, такая смарт-карта ничем не уступает физическому аналогу: она поддерживает абсолютно все операции, от использования ЭЦП до доступа в режиме Single Sign-On. Для операций криптографии применяется стандарт PKCS#11 и Microsoft CryptoAPI – при этом все они также обрабатываются на сервере или в «железном» модуле HSM. Разумеется, шифровальные ключи в рамках этих операций не передаются на компьютеры пользователей, а значит, не подвергаются атакам со стороны вредоносных программ и кибервзломщиков. На рабочую станцию пользователя приходит только результат криптооперации – он доставляется по каналам, зашифрованным асимметричными алгоритмами по протоколу TLS.
С точки зрения конечного пользователя, виртуальная смарт-карта выглядит как постоянно подключенный к компьютеру ключевой носитель, поэтому вытащить (отключить) смарт-карту нельзя.
В случае необходимости работы более чем с одной рабочей станцией, пользователю должна быть выпущена виртуальная смарт-карта для каждой из них. Между тем, для доступа к одному и тому же компьютеру несколькими пользователями, виртуальные карты должны быть выпущены и привязаны к компьютеру для каждого пользователя.
Соответственно, покидая рабочее место, пользователь не может вытащить смарт-карту и забрать ее с собой. В этом ее преимущество, но это же можно принять за недостаток. Злоумышленнику не требуется похищать или каким-то иным образом завладевать смарт-картой. Достаточно «добраться» до компьютера, планшета или другого устройства пользователя, к которому привязана виртуальная смарт-карта. Однако к таким устройствам люди обычно относятся более внимательно и ответственно, чем к смарт-картам, поэтому физически получить доступ к ним гораздо сложнее, а значит, вероятность попадания их в руки злоумышленников ниже. Кроме того, после нескольких попыток ввода неправильного PIN-кода, виртуальная смарт-карта, как и обычная карта, блокируется.
В итоге, виртуальные смарт-карты предоставляют ряд очевидных преимуществ. Во-первых, меньше затрат на покупку и обслуживание оборудования. Во-вторых, доставка таких ключей осуществляется удаленно – сотруднику не нужно лично ехать к оператору системы. В-третьих, и специалистам по ИБ проще: в случае увольнения сотрудника или кризисной ситуации можно моментально отозвать карту и уничтожить закрытые ключи. Тем, кто уже внедрил PKI-инфраструктуру или только планирует это сделать, стоит присмотреться к технологии внимательнее.